Добый вечер с днём св. Николая всех
проблемма такого рода немогу достучаться до ftp, с нттр поблем никоких с птоковым видео всё впорядке вот ftp проблеммы вот правила.
Спасибо за помощь!

Попробуй указать для клиента "passive mode".

зы. и исправь название темы, а то попадешь в известную тему форума.

Попробуй указать для клиента "passive mode". »
с таким конфигом не поможет
sergey1234567, про нат слышали? и в каком порядке в ipfw правила обрабатываются?

нет nat не ставил не указывал в ядре, а можно поподробнй что с правилами не так и что поправить нужно?

что с правилами не так и что поправить нужно? »
попробуйте сами разобраться, я уверен в том, что у вас получится, если вы захотите конечно: http://www.lissyara.su/doc/docs/handbook_-_ipfw/

Я извиняюсь конечно ну NAT -в данном случае необходим? Дело всё в том что как только я поставил прокси и первый раз настроил настроил ipfw всё отлично работало потом ч.з. 3 месяца я решил ужесточить правила и потерял доступ к ftp. Это както связанно с пассивным и активным режимом ftp?

используйте в качестве фтп сервера сервер, умеющий задавать диапазон портов для пассивного режима, например pure-ftpd (http://www.pureftpd.org/project/pure-ftpd).
в случае pure-ftpd рисуем в его конфиге строчку

PassivePortRange 30000 30500 #диапазон портов по необходимости можно расширить

ну и сделать правило типа allow from any to <ftphost> 30000-30500

Понял ну дело в том что станции у меня на ftp ходят ч.з. squid основное предназначение этой машины - прокси сервер, т.е. мне ненадо иметь на этой машине ftp сервер мне нужно только дать squid доступ к ftp я это зделал следующим правилом
$cmd 00185 allow tcp from any to any http,https,20,21,8000 out via $oif setup keep-state
ну чтото несрабатывает, предпологаю тут виноват - активный режим может в squid тото подправить могу выложить его конфиг если это нужно?

тэкс, начнём с начала, на какой фтп вы не можете попасть - на свой или любой внешний из внутренней подсетки?

моего ftp на данной машине неустановлено т.к. он мне ненужен, я хочу попать из внутренней сети на внешний ftp по средствам squid, ну ipfw невыпускат squid на внешие ftp:) Вот и вся история. К выше сказанному хочу добавить что - options IPDIVERT я неставил в ядро и хотелбы всё решить без NAT.

а ну тогда выше правильно сказали, используйте NAT.

Это не топик, а квест...
Не зря в названии темы промелькнул squid! :)

sergey1234567, хотите чтобы вам помогли - уважайте тех, у кого вы просите помощи!

Исправьте:
- название темы
- опишите свою сеть и участвующие в процессе серверы
- нормально вывесите скрипт с правилами, текстом, а не файлом в архиве
- опишите проблему и скажите что вы в итоге хотите получить

Извиняюсь! Просто когда тему создавал - праздник сами понимаете:) а поменять название темы я чото искал, ненашёл (может соэдать поновому?).

#!/bin/sh
oif="re0"
cmd="ipfw -q add"
ipfw -q -f flush
#razreshaem petlu
$cmd 00100 allow all from any to any via lo0
$cmd 00110 deny all from any to 127.0.0.0/8
$cmd 00120 deny all from 127.0.0.0/8 to any
#proverka virtualnih pravil

$cmd 00130 check-state

#zapret sozdanih soedineniy
$cmd 00140 deny all from any to any frag
$cmd 00150 deny tcp from any to any established
# Доступ squid по используемым портам
$cmd 00185 allow tcp from any to any http,https,20,21,8000 out via $oif setup keep-state
#доступ к DNS
$cmd 00190 allow tcp from any to 192.168.196.3 53 via $oif setup keep-state
$cmd 00195 allow udp from any to 192.168.196.3 53 via $oif keep-state

#Разрешаю доступ из внутренней сети к squid 3128
$cmd 00300 allow tcp from 192.168.196.0/24 to any 3128 in via $oif setup keep-state

sergey1234567, есть предложение промониторить и выложить здесь результат

> ipfw -a list

сразу будет видно какие правила когда срабатывают.

До попыки подключения к фтп

00100 0 0 allow ip from any to any via lo0
00110 0 0 deny ip from any to 127.0.0.0/8
00120 0 0 deny ip from 127.0.0.0/8 to any
00130 0 0 check-state
00140 0 0 deny ip from any to any frag
00150 67 62292 deny tcp from any to any established
00185 122 28430 allow tcp from any to any dst-port 80,443,8000 out via re0 setup keep-state
00186 0 0 allow tcp from any to any dst-port 20,21 out via re0 setup keep-state
00190 0 0 allow tcp from any to 192.168.196.3 dst-port 53 via re0 setup keep-state
00195 2 319 allow udp from any to 192.168.196.3 dst-port 53 via re0 keep-state
00300 188 36686 allow tcp from 192.168.196.0/24 to any dst-port 3128 in via re0 setup keep-state
65535 91016 8141391 deny ip from any to any

после

00100 0 0 allow ip from any to any via lo0
00110 0 0 deny ip from any to 127.0.0.0/8
00120 0 0 deny ip from 127.0.0.0/8 to any
00130 0 0 check-state
00140 0 0 deny ip from any to any frag
00150 85 65908 deny tcp from any to any established
00185 143 31726 allow tcp from any to any dst-port 80,443,8000 out via re0 setup keep-state
00186 79 5506 allow tcp from any to any dst-port 20,21 out via re0 setup keep-state
00190 0 0 allow tcp from any to 192.168.196.3 dst-port 53 via re0 setup keep-state
00195 6 1081 allow udp from any to 192.168.196.3 dst-port 53 via re0 keep-state
00300 293 50802 allow tcp from 192.168.196.0/24 to any dst-port 3128 in via re0 setup keep-state
65535 91264 8163373 deny ip from any to any

ps. Попробывал сделать поподробней т.е. разделил 20 и 21 порты вижу что правило срабатывает только по 21 а по 20 чисто

sergey1234567, попробуй добавить правило:

65534 allow ip from any to any

если доступ не появится, то проблема, скорее всего, в

00150 deny tcp from any to any established

обычно на это условие ставят разрешающее правило.

sergey1234567,
Я так и не понял, у вас исходящий трафик проксируется или напрямую выходит?
00150 deny tcp from any to any established
обычно на это условие ставят разрешающее правило. »
я обычно делаю его allow и ставлю куда-нибудь в конец списка.

очень интересно - поменял
$cmd 00185 allow tcp from any to any http,https,20,21,8000 out via $oif setup keep-state
на
$cmd 00185 allow tcp from any to any out via $oif setup keep-state
и зароботоло, вывод какието порты неуказал?

вывод какието порты неуказал? »
видимо 3128
а вообще log в правило и cat /var/log/security

ну как же 3128 указал
00300 293 50802 allow tcp from 192.168.196.0/24 to any dst-port 3128 in via re0 setup keep-state
иначе как - бы всё остальное работало по этому же порту прокси работает? Или вы имели ввиду наружу - зачем?
А лог сделаю на выходных после нового года - тогда будит время покавырятся а то щас дёргать нехочется. А разобраться очень хочется.